【漏洞详情】

ntopng是一款基于Web的流量分析与集流工具。近日，平安云安全中心监测到ntopng 存在权限绕过与任意代码执行漏洞( CVE-2021-28073、CVE-2021-28074)。通过此漏洞，攻击者可构造恶意请求绕过身份验证，实现任意代码执行，进而控制服务器。

【风险评级】

高危

【影响范围】

l  ntopng commit < e8b9721479f401f595c5c7bb151819aceb03ad71

【修复建议】

ntopng官方已发布安全版本，建议受影响的用户结合实际业务评估漏洞风险影响，更新ntopng至安全版本，以避免安全风险。

【参考链接】

https://github.com/ntop/ntopng/commit/e8b9721479f401f595c5c7bb151819aceb03ad71

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年3月25日